# AN1623 — Analytic 1623 ## Descrição Esta analítica detecta comprometimento de servidores web Linux e modificação de arquivos hospedados por adversários que exploram vulnerabilidades de upload, execução remota de código ou substituem `index.html` via SSH ou web shell. A telemetria inclui monitoramento de integridade de arquivos via `auditd` ou `inotifywait` nos diretórios do servidor web (`/var/www/html/`, `/srv/http/`), logs de acesso SSH correlacionados com operações de escrita em arquivos web, e alertas de hash mismatch em sistemas de FIM. Esta detecção é relevante para defesa de infraestrutura web crítica, incluindo portais governamentais e financeiros que são alvos frequentes de campanhas hacktivistas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1623](https://attack.mitre.org/detectionstrategies/DET0590#AN1623)*